STRATEGIE17. September 2016

MiFID 2 & Telefonmitschnitt: Technische Hürden und regulatorische Anforderungen für den Finanzsektor

Dr. Rolf Fiedler, CTO & Vorstand Ferrari electronicFerrari electronic
Dr. Rolf Fiedler, CTO & Vorstand Ferrari electronicFerrari electronic

Telefonmitschnitt ist ein wichtiges Werkzeug, um die Qualität der Kundenkommunikation zu bewerten und zu dokumentieren oder um Rechtssicherheit bei telefonischen Absprachen herstellen zu können. Ein stark regulierter Bereich sind Banken und Finanzdienstleister. Chief Technology Officer Dr. Rolf Fiedler verknüpft die Hintergründe der Regulierung mit den technologischen und praktischen Aspekten.

von Dr. Rolf Fiedler,
CTO & Vorstand Ferrari electronic

Seit 2010 gibt es Konsultationen zur Überarbeitung der Richtlinie über Märkte in Finanzinstrumenten (MiFID). Im Juni 2014 wurde die Richtlinie 2014/65/EU (MiFID 2) im Amtsblatt der Europäischen Union ver­öffent­licht. Ursprünglich sollte diese zwei Jahre nach Veröffentlichung, also im Sommer 2016, in Kraft treten. Da die Marktteilnehmer als auch die Mit­glieds­staaten zeitliche Probleme mit der Umsetzung hatten, wurde der Geltungsbeginn verschoben.

Aktuell gilt der 3. Januar 2018 als Geltungsbeginn der Richtlinie.”

Bis dahin müssen betroffene Unternehmen die Kundenkommunikation zur Beratung beim Verkauf von Finanzprodukten 5 Jahre aufbewahren. Dabei sind alle Kommunikationskanäle zu erfassen, also auch mündliche Beratung bzw. Aufträge per Telefon. Falls eine Kundenbeschwerde z.B. von einer Regulierungsbehörde untersucht wird, kann diese dann Zugriff auf die entsprechenden Aufzeichnungen anfordern.

Technische Aspekte des Telefonmitschnittes

Dragon Images/bigstock.com
Dragon Images/bigstock.com

Telefonmitschnitt kann in öffentlichen oder privaten Netzen erfolgen. In öffentlichen Netzen ist in den Lizenzbedingungen der Tele­kommuni­ka­tions­dienst­leister geregelt, in welcher Form diese staatlichen Stellen (Ermittlungsbehörden, Geheimdienste) auf gesetzlicher Basis Zuarbeit leisten müssen. Anbieter von Telekommunikationsdienstleistungen (Provider) bieten teilweise auch Telefonmitschnitt für Kunden an. Der Zugriff zu den Aufzeichnungen erfolgt dabei typischerweise Browser-basiert ohne Integration in die IT-Umgebung des Kunden.

In privaten Netzen kann der Betreiber unter Beachtung der gesetzlichen Erfordernisse (z.B. Zustimmung der Gesprächsteilnehmer) selbst Telefonmitschnitt-Anlagen betreiben. Dabei gibt es nach dem Ort, an welchem aufgezeichnet wird, drei wesentliche Ansätze: Aufzeichnung an der Amtsleitung, Aufzeichnung in der Telefonanlage oder Aufzeichnung an Nebenstellen. Jeder Ansatz hat spezifische Vor- und Nachteile.

Technisch – dort Mitschneiden, wo alle Informationen verfügbar sind, …

Der Mitschnitt in der Telefonanlage oder in einem Media-Gateway ist insofern ideal, als dort alle Informationen über die Gesprächsteilnehmer verfügbar sind. Allerdings sind diese Lösungen später häufig nicht nachrüstbar bzw. manche Hersteller unterstützen Mitschnitt nicht. Außerdem ist eine integrierte Lösung meist relativ teuer oder die Hersteller bieten keine geeignete Software zur Verwaltung der Mitschnitte, da dies nicht zu ihrem Kerngeschäft gehört. SIPREC (RFCs 6341, 7245, 7865, 7866) ist ein guter technischer Ansatz, mit welchem die VoIP-Telefonanlage Medienströme zu einem externen Mitschnitt-Server leiten kann. Dabei erfolgt die Erfassung der Metadaten und die Mitschnitt-Steuerung durch die Telefonanlage und die eigentliche Aufzeichnung und Mitschnitt-Verwaltung durch einen Server außerhalb der Telefonanlage.

OfficeMaster Mitschnitt-Produkte
Ferrari electronic bietet eine umfangreiche Palette an Produkten für den Telefonmitschnitt an. So sind die Skype for Business zertifizierten Mediagateways per Lizenz mit einer Mitschnitt-Funktion erweiterbar. Es gibt Geräte für den passiven Telefonmitschnitt an ISDN-Basis- als auch an Primärmultiplexanschlüssen.

Telefonmitschnitte mit OfficeMaster Call Recording von Ferrari electronicFerrari electronic
Telefonmitschnitte mit OfficeMaster Call Recording von Ferrari electronicFerrari electronic

Ein passiver Ethernet-Tap ermöglicht SIP-Mitschnitt, ohne Monitoring Ports von Ethernet-Switches konfigurieren zu müssen. Schließlich steht eine leistungsfähige Mitschnitt-Software zur Verfügung, welche verschiedene Telefonie-Schnittstellen unterstützt und umfangreiche Verwaltungsfunktionen bietet.

… oder selektiv an der Nebenstelle

Der Vorteil des Mitschnitts an Nebenstellen ist, dass man sehr selektiv bestimmte Apparate erfassen kann, ohne komplexe Filterbedingungen in der Software formulieren zu müssen. Allerdings ist unter Umständen eine verteilte Installation nötig, welche einen erhöhten Aufwand verursacht. Umso mehr Nebenstellen mitgeschnitten werden sollen, desto ungünstiger wird der Mitschnitt an Nebenstellen im Vergleich zum Mitschnitt an der Amtsleitung oder in der Telefonanlage. Weiterhin ist die Schnittstelle zwischen Telefonanlage und (System-)Telefon häufig herstellerspezifisch, so dass es weniger Anbieter für Mitschnittgeräte an digitalen Zweidraht-Schnittstellen gibt.

Mitschnitt an Amtsleitungen

Diesen Nachteil gibt es für den Mitschnitt an Amts­lei­tungen nicht, da die hier eingesetzten Protokolle standardisiert (z.B. Euro-ISDN, 1TR118 für SIP-Trunks) sind und die entsprechenden Standards (z.B. durch ITU, ETSI, IETF) veröffentlicht wurden. Weiterhin kann an zentraler Stelle mit relativ geringem Hardware-Aufwand der gesamte Telefonverkehr einer Organisation erfasst werden. Allerdings können keine internen Gespräche erfasst werden, da diese nur zwi­schen den Ne­ben­stel­len und der Te­lefon­anla­ge lau­fen. Weiterhin ist es manch­mal schwierig, die Mit­schnitte be­stimm­ten Neben­stel­len zuzu­ordnen, da häufig Ruf­nummern un­ter­drückt bzw. durch ei­ne zen­trale Einwahl­num­mer ersetzt wer­den.

Ein Problem: Mobilfunk-Terminals

Der Mitschnitt von Telefonaten auf Mobilfunk-Terminals ist technisch schwieriger. Es gibt drei wesentliche Ansätze:
1. Entweder kann der Mobilfunkprovider eine Mitschnitt-Funktion anbieten – dies ist die ideale Lösung.
2. Alternativ kann man Mobilfunkgeräte als Nebenstellen an die Telefonanlage des Unternehmens anbinden und dann dort mitschneiden. Dabei darf dann allerdings nicht direkt gewählt werden, sondern immer über die Einwahlnummer der Telefonanlage, welche dann den Kunden anruft. Direkte Anrufe auf die Mobilfunknummer würden nicht erfasst.
3. Schließlich gibt es noch die Möglichkeit, eine Mitschnitt-App auf den Mobiltelefonen zu installieren, welche die Aufzeichnung nach dem Telefonat über eine Datenverbindung (GPRS, Edge, UTMS, HSDPA, LTE, …) zu einem zentralen Server überträgt. Problematisch ist hierbei, dass nur schwer sichergestellt werden kann, dass die Mitschnitt-App immer läuft und alle Telefonate erfasst. Daher kann es (falls der Provider keinen Mitschnitt anbietet) für die Einhaltung der Anforderungen von MiFID 2 sinnvoll sein, Kundenberatung per Mobiltelefon zu untersagen bzw. nur über die Firmentelefonanlage zu unterstützen.

Je nach Anwendungsszenario empfiehlt sich automatischer (z.B. für MiFID 2 oder Notrufzentralen) oder manueller Mitschnitt (z.B. Coaching in Call Centern). Auch Kombinationen aus automatischem und manuellem Mitschnitt sind möglich (z.B. Ausschluss von Privatgesprächen durch Tastendruck).

Flynt/bigstock.com
Flynt/bigstock.com

Passiver Telefonmitschnitt beeinflusst die Telefonie nicht, da die elektrischen Signale hochohmig parallel abgegriffen werden. Damit ist die Mitschnittlösung komplett unabhängig und kann jederzeit entfernt werden. Jedoch sind so keine Ansagen möglich – diese können aber meist leicht durch die vorhandene Telefonanlage abgespielt werden. Aktive Telefonmitschnitt-Geräte greifen in die Telefonsignalisierung ein und können damit auch Störungen verursachen – bieten aber die Möglichkeit, Rufe zu beeinflussen und Ansagen abzuspielen.

Zusätzliche Features: Filtermöglichkeiten, Audiokomprimierung, Live-Mithören, …

Gute Mitschnittlösungen bieten weiterhin Softwarefunktionen wie umfangreiche Filtermöglichkeiten, Audiokomprimierung, Live-Mithören, Mitschnittsteuerung (z.B. durch DTMF-Töne), kryptografische Funktionen wie Verschlüsselung und Schutz gegen Manipulation durch MD5-Hashes, automatische Löschfunktionen (nach bestimmter Zeit oder bei Überschreiten einer bestimmten Speichergröße), automatischer Versand als E-Mail, umfangreiche Suchfunktionen, Schnittstellen zur Integration in andere Software-Systeme (z.B. ACD, CRM, Dialer), automatische Fehlersignalisierung, Möglichkeit zur Replikation der Daten usw.

Verwaltung der Mitschnittdaten

Nachdem die Aufzeichnungen erfasst sind, muss ein Konzept existieren, wie mit diesen Daten weiter umzugehen ist. Der regulatorische Rahmen bestimmt häufig schon die Dauer der Aufbewahrung. Im Idealfall ist die Speichermenge nicht zu groß, so dass man diese über die gesamte Aufbewahrungsdauer im Direktzugriff auf Massenspeicher halten kann. Ein Quota-Mechanismus, der ältere Mitschnitte automatisch löscht, hilft bei der Umsetzung von Datensparsamkeit.

Autor Dr. Rolf Fiedler
Dr.-Rolf-Fiedler_516Dr. Rolf Fiedler ist Chief Technology Officer und seit 2014 Vorstand bei der Ferrari electronic AG. Dort verantwortet er die Hard- und Software-Entwicklung sowie die Fertigung der Unified-Communications-Produkte, insbesondere der Telefonmitschnitt-Lösungen. Seinen beruflichen Werdegang begann er 1996 bei der Ferrari electronic AG, wo er die Nutzung von digitaler Signalverarbeitung in Form von Softmodems für Fax vorantrieb. Parallel dazu forschte er über Rechnerarchitekturen digitaler Signalprozessoren, was zur Promotion an der TU Chemnitz (2002) führte.

Rolf Fiedler studierte Elektrotechnik mit Studienrichtung Informationstechnik an der Technischen Universität Chemnitz sowie Electronic Engineering an der University of South Australia in Adelaide.

Anfragen nach Mitschnitt-Daten können von Mitarbeitern, (Regulierungs-) Behörden oder Kunden (BDSG) kommen. In jedem dieser Fälle muss ein Prozess existieren, welcher die Anfrage zeitnah bearbeitet (die Berechtigung überprüft), die gewünschten Daten heraussucht und übermittelt. Es kann hierbei hilfreich sein, die Daten gleich an andere IT-Systeme (z.B. Customer Relationship Management System) zu übergeben und dann in diesen Systemen die Prozesse zu implementieren. Dies ist jedoch stark von der IT-Struktur des einsetzenden Unternehmens abhängig. Im einfachsten Fall reicht eine Suche nach den angegebenen Telefonnummern.

Was ändert sich durch die Einführung von VoIP?

Ein Mitschnitt-System in einer VoIP-Umgebung kann, entsprechende Netzinfrastruktur vorausgesetzt, als reine Software-Funktion realisiert werden. Hardware ist nur für die Paketerfassung (z.B. Ethernet Switch mit Monitoring Port oder eine passive Netzanzapfung / Ethernet Tap) nötig. Verschlüsselung (z.B. TLS und SRTP) kann aber die Aufzeichnung unmöglich machen. Das Hinterlegen der kryptografischen Zertifikate, um TLS „man-in-the-middle“ zu dechiffrieren, verlangt (zu?) großes Vertrauen und ist administrativ sehr aufwändig.
Falls sich die Telefonanlage in der Cloud befindet, können innerhalb der Organisation die Nebenstellen per Software mitgeschnitten werden. Hierbei gibt es gegenüber klassischer Telefontechnik den großen Vorteil, dass es meist einen zentralen Punkt im Netz gibt (z.B. Link zum DSL-Router), an welchem die Da­ten­pa­ke­te aller Nebenstellen abgegriffen werden können.aj

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert